मुफ्त स्कैन करें
विश्लेषण प्रतीक्षितCVE-2026-44007

CVE-2026-44007: RCE in vm2 Node.js Sandbox

प्लेटफ़ॉर्म

nodejs

घटक

vm2

में ठीक किया गया

3.11.1

NVD पर देखें
सहेजें

CVE-2026-44007 is a Remote Code Execution (RCE) vulnerability affecting the vm2 Node.js sandbox library. This vulnerability arises when the nesting: true option is enabled during NodeVM creation, allowing untrusted code within the sandbox to bypass require restrictions and execute arbitrary commands on the host system. The vulnerability impacts versions 0.0.0 through 3.10.0 of vm2, and a fix is available in version 3.11.1.

प्रभाव और हमले की स्थितियाँ

CVE-2026-44007 vm2 में nesting: true के साथ एक NodeVM के अंदर अविश्वसनीय कोड को बिना शर्त vm2 मॉड्यूल को require करने की अनुमति देता है, भले ही बाहरी NodeVM में require: false सेटिंग हो। यह सैंडबॉक्स को बिना किसी प्रतिबंध के require सेटिंग्स के साथ एक नया आंतरिक NodeVM बनाने और होस्ट पर मनमाना OS कमांड निष्पादित करने की अनुमति देता है। nesting: true का उपयोग करके NodeVM के अंदर अविश्वसनीय कोड चलाने वाले एप्लिकेशन पूरी तरह से समझौता किए जाएंगे। इस भेद्यता की गंभीरता उच्च है, CVSS स्कोर 9.1 है, इसकी आसान शोषण क्षमता और पूर्ण सिस्टम एक्सेस की संभावना के कारण।

शोषण संदर्भ

एक हमलावर nesting: true के साथ NodeVM के सैंडबॉक्स में दुर्भावनापूर्ण कोड इंजेक्ट करके इस भेद्यता का फायदा उठा सकता है। इंजेक्ट किया गया कोड vm2 आयात करेगा और फिर एक नया NodeVM बनाएगा जिसमें require सक्षम है। वहां से, हमलावर होस्ट को समझौता करते हुए मनमाना OS कमांड निष्पादित कर सकता है। शोषण अपेक्षाकृत आसान है, जिससे जोखिम बढ़ जाता है। ऑनलाइन विकास वातावरण या स्क्रिप्टिंग टूल जैसे उपयोगकर्ता को मनमाना कोड निष्पादित करने की अनुमति देने वाले अनुप्रयोगों के लिए यह भेद्यता विशेष रूप से चिंताजनक है।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट1 खतरा रिपोर्ट

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H9.1CRITICALAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredHighहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeChangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
उच्च — व्यवस्थापक या विशेषाधिकार प्राप्त खाते की आवश्यकता।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकvm2
विक्रेताpatriksimek
न्यूनतम संस्करण0.0.0
अधिकतम संस्करण< 3.11.1
में ठीक किया गया3.11.1

कमजोरी वर्गीकरण (CWE)

CWE-284

समयरेखा

  1. आरक्षित
  2. प्रकाशित

शमन और वर्कअराउंड

मुख्य शमन उपाय vm2 को संस्करण 3.11.1 या उच्चतर में अपग्रेड करना है। यह संस्करण बाहरी NodeVM में require: false होने पर सैंडबॉक्स की vm2 आयात करने की क्षमता को सीमित करके भेद्यता को ठीक करता है। यदि तत्काल अपग्रेड संभव नहीं है, तो अपडेट लागू किए जाने तक NodeVM में nesting: true सुविधा को अक्षम करने की अनुशंसा की जाती है। इसके अतिरिक्त, nesting: true का उपयोग किए जा रहे उदाहरणों की पहचान करने और संबंधित जोखिम का मूल्यांकन करने के लिए कोड की समीक्षा की जानी चाहिए। अतिरिक्त सुरक्षा नियंत्रणों को लागू करना, जैसे इनपुट सत्यापन और विशेषाधिकार सीमा, भेद्यता के संभावित प्रभाव को कम करने में मदद कर सकता है।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice a la versión 3.11.1 o superior de la biblioteca vm2. Esta versión corrige la vulnerabilidad al asegurar que la opción 'require: false' se aplique correctamente, evitando la ejecución de código arbitrario fuera del sandbox.

अक्सर पूछे जाने वाले सवाल

CVE-2026-44007 क्या है — vm2 में?

vm2 एक Node.js मॉड्यूल है जो अविश्वसनीय JavaScript कोड चलाने के लिए एक पृथक निष्पादन वातावरण प्रदान करता है।

क्या मैं vm2 में CVE-2026-44007 से प्रभावित हूं?

'nesting: true' विकल्प अन्य NodeVM के अंदर NodeVM बनाने की अनुमति देता है, जो कुछ अनुप्रयोगों के लिए उपयोगी हो सकता है, लेकिन यदि इसे ठीक से प्रबंधित नहीं किया जाता है, तो यह सुरक्षा जोखिम पैदा करता है।

vm2 में CVE-2026-44007 को कैसे ठीक करें?

यदि आप तुरंत अपग्रेड नहीं कर सकते हैं, तो अपने NodeVM में 'nesting: true' विकल्प को अक्षम करें।

क्या CVE-2026-44007 का सक्रिय रूप से शोषण किया जा रहा है?

अपने कोड की जांच करें कि आप nesting: true के साथ NodeVM का उपयोग कर रहे हैं या नहीं, और क्या आप इन NodeVM के अंदर अविश्वसनीय कोड के निष्पादन की अनुमति दे रहे हैं।

CVE-2026-44007 के लिए vm2 का आधिकारिक सुरक्षा सलाह कहां मिलेगी?

वर्तमान में इस भेद्यता का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है, लेकिन मैन्युअल कोड समीक्षा इसे पहचानने का सबसे अच्छा तरीका है।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें
liveमुफ्त स्कैन

अभी आज़माएँ — no खाता

scanZone.subtitle

मैनुअल स्कैनSlack/email अलर्टContinuous monitoringscanZone.capReports

अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...